随着网络信息的普及与快速发展，信息安全变成了网络信息发展的一个关键性问题。由于信息网络环境变得非常开放，网络攻击技术发展迅速，同时攻击者很容易获得一些自动化和智能化攻击工具，这样对信息安全的保障提出了严峻的挑战。因此，为了能够高效、准确的找到网络系统中存在的漏洞，则可以运用模拟黑客攻击的渗透测试技术，为提高系统的安全性能提供了良好的措施。　　 渗透测试是近几年发展起来的一种网络安全防御的新措施，对网络信息安全具有重大的实际应用价值，但要对目标网络进行有效渗透测试并不容易。因为现阶段，渗透测试还是处于少数专家通过自身的经验和知识来解决问题，并没有形成国际化的统一标准，渗透测试的理论研究和技术研究还处于不断的完善之中。特别是在国内，能够直接应用的渗透测试工具还非常少，在渗透测试过程中，测试者还是根据自己的经验和平时收集或自行研发的工具进行渗透测试，而这些工具收拾分散的，这样使得渗透测试的效率和质量大打折扣。　　 基于渗透测试的现状，结合渗透测试各方面的知识，本文首先对渗透测试的相关技术和模型进行了梳理研究，其中包括由ISECOM编写的Open Source Security Test Model Manual，即开源安全测试方法手册(OSSTMM);美国国家标准技术委员会制定NIST SP800-115;欧洲一些国家发布的渗透测试模型。根据这几种标准中提出的渗透测试模型和方法，自己提出了一种易于实现的基于攻击树的渗透测试模型。然后根据以上模型，分析并研究了相应的渗透测试技术。最后，通过对比分析研究了国外一些渗透测试框架，主要通过对比分析方法，比较这三种框架各自的原理和优缺点，由于未找到国内相关框架，所以未参考国内相关的研究。　　 通过以上理论研究，结合软件工程知识，设计了一种基于攻击图的网络信息安全渗透测试平台，设计了6个功能模块，包括核心控制模块，扫描模块，攻击图生成模块，渗透攻击模块，现场清理模块，报告生成模块，并引入攻击图技术，使渗透攻击过程更加完善和准确。最后通过搭建一个小型蜜网对攻击平台进行验证。根据对测试结果分析，基于攻击图的渗透测试系统能够完成相应功能，达到设计和实现要求。